Sony FeliCa kwetsbaarheid gevonden in IC transportkaarten van voor 2017

Sony heeft onthuld dat sommige van zijn FeliCa contactloze IC-kaarten die vóór 2017 zijn geleverd, kwetsbaar zijn voor het uitlezen en wijzigen van gegevens door onbevoegden. Kaarten op basis van FeliCa zijn populair in Japan en worden veel gebruikt als trein-, ID- en betaalkaarten. Andere landen, waaronder Amerika, Bangladesh, Hong Kong, Indonesië en Thailand, hebben het systeem ook gebruikt.

Reizigers naar Japan komen FeliCa vaak tegen als kaarten voor openbaar vervoer, zoals de Suica of Pasmo kaarten die gebruikt worden in Tokio's JR East en Pasmo trein- en busnetwerken. Deze contactloze NFC-kaarten kunnen vooraf worden opgeladen met geld en worden gebruikt voor reizen. Ze kunnen ook worden gebruikt om drankjes, voedsel en goederen te kopen bij verkoopautomaten, restaurants en winkels die dit betaalsysteem ondersteunen.

Sony heeft geen details over de kwetsbaarheid bekendgemaakt, maar derden ontdekten de kwetsbaarheid en stelden Sony op de hoogte onder de "Information Security Early Warning Partnership Guidelines" van het Information Technology Promotion Agency (IPA), een Japans partnerschapskader voor beveiliging dat is ontworpen om schade tot een minimum te beperken.

Door het zwakke punt in deze IC-kaarten kunnen hackers gegevens lezen en wijzigen ondanks AES/DES-codering, wat de deur openzet voor diefstal van rekeningsaldo's. Eigenaars van kaarten van voor 2017 moeten hun rekeningsaldo's dus zo snel mogelijk overzetten op een nieuwe kaart. Elektronische portemonnees, zoals die opgeslagen in telefoons of smartwatches, lopen geen risico.

De ontdekking van de kwetsbaarheid toont eens te meer aan dat alles wat elektronisch is waarschijnlijk ooit gehackt zal worden. Lezers met Bitcoins in een online portemonnee of account zouden een offline portemonnee, zoals deze op Amazon, moeten overwegen om hun geld veilig te stellen, omdat hackers miljoenen aan cybercoins hebben gestolen van verschillende online accounts.